El software de servidor de automatización de código abierto ampliamente utilizado Jenkins, presenta una vulnerabilidad crítica bajo CVE-2024-23897 con puntaje CVSS de 9.8.
Este problema radica en la interfaz de línea de comandos (CLI) incorporada de Jenkins, específicamente en su dependencia de la biblioteca args4j para analizar argumentos y opciones de comandos en el controlador de Jenkins al procesar comandos CLI. Una característica aparentemente inofensiva, diseñada para aumentar la utilidad al reemplazar un carácter «@» seguido de una ruta de archivo en un argumento con el contenido del archivo, se ha convertido en una caja de Pandora de riesgos de seguridad. Habilitada por defecto y sin restricciones en versiones hasta la 2.441 y LTS 2.426.2, esta vulnerabilidad permite a los atacantes leer archivos arbitrarios en el sistema de archivos del controlador de Jenkins, abriendo así la puerta a la ejecución de código remoto (RCE).
Versiones Afectadas
- Jenkins 2.441 e inferiores, LTS 2.426.2 y anteriores.
Solución
- Actualizar a versiones 2.442 LTS y 2.426.3 o superiores
Recomendaciones
- Realizar una auditoría exhaustiva de las configuraciones de seguridad de Jenkins, asegurándose de que solo los administradores tengan acceso a funciones críticas y revisar regularmente los registros para detectar cualquier actividad sospechosa.
- Restringir el Acceso al CLI
Referencias